В.Б. Щербаков

А.В. Гармонов

О.А. Остапенко

БЕСПРОВОДНЫЕ

ТЕЛЕКОММУНИКАЦИОННЫЕ

СИСТЕМЫ

КАК ОБЪЕКТ ОБЕСПЕЧЕНИЯ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Учебное пособие

Воронеж 2007

ГОУВПО

«Воронежский государственный технический

университет»

В.Б. Щербаков

А.В. Гармонов

О.А. Остапенко

БЕСПРОВОДНЫЕ

ТЕЛЕКОММУНИКАЦИОННЫЕ СИСТЕМЫ

КАК ОБЪЕКТ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Утверждено Редакционно-издательским советом

университета в качестве учебного пособия

Воронеж 2007

УДК 002.001;002:001.8

Щербаков В.Б. Беспроводные телекоммуникационные системы как объект обеспечения информационной безопасности: учеб. пособие / В.Б. Щербаков, А.В. Гармонов, О.А. Остапенко. - Воронеж: ГОУВПО «Воронежский государственный технический университет», 2007. – 131 c.

В работе описываются основные принципы построения беспроводных систем связи в контексте обеспечения информационной безопасности. На основе анализа уязвимостей беспроводных систем проводится идентификация рисков информационной безопасности. В соответствии с анализом рисков информационной безопасности и основных принципов функционирования беспроводных систем строится политика безопасности оператора беспроводной связи. В заключительной части пособия рассматривается обеспечение информационной безопасности беспроводных систем.

Издание соответствует требованиям Государственного образовательного стандарта высшего профессионального образования по направлению 090100 «Информационная безопасность», специальностям 090105 «Комплексное обеспечение информационной безопасности автоматизированных систем», 090106 «Информационная безопасность телекоммуникационных систем», дисциплинам «Проектирование систем защиты информации в мобильных телекоммуникационных системах общего пользования», «Проектирование защищенных мобильных телекоммуникационных систем».

Издание предназначено студентам и аспирантам.

Учебное пособие подготовлено в электронном виде в текстовом редакторе MS WORD и содержится в файле кафедра СИБ3.document.

Табл. 7. Ил. 38. Библиогр.: 55 назв.

Научный редактор д-р техн. наук, проф. А.Г. Остапенко.

Рецензенты: кафедра информационной безопасности Воронежского института МВД России (зав. кафедрой, канд. техн. наук, доцент О.С. Овсентьев);

д-р техн. наук, проф. Г.С. Остапенко

© Щербаков В.Б., Гармонов А.В., Остапенко О.А., 2007

© Оформление. ГОУВПО "Воронежский государственный технический университет", 2007

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ 6

1. ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ БЕСПРОВОДНЫХ СИСТЕМ СВЯЗИ 8

1.1. Стандарты семейства IEEE 802.11 8

1.1.1. Основные принципы 11

1.1.2. МАС - уровень 16

1.1.3. Физический уровень 21

1.1.4. Стандарты IEEE 802.11а и 802.11g 28

1.2. Схема распределенного управления в локальных сетях 38

1.3. Работа беспроводных систем связи в условиях го­родских и региональных сетей 43

1.4. Структура беспроводной сети в локальном территориальном районе 51

2. ИДЕНТИФИКАЦИЯ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БЕСПРОВОДНЫХ СИСТЕМ СВЯЗИ 54

2.1. Идентификация нарушителей 54

2.2. Потенциал нападения нарушителей 58

2.3. Спектр угроз безопасности беспроводных систем связи 61

2.4. Спектр уязвимостей беспроводных систем связи 69

2.4.1. Уязвимости, обусловленные средой передачи и диапазоном рабочих частот 70

2.4.2. Уязвимости системы аутентификации 70

2.4.3. Уязвимости криптографических протоколов 73

2.4.3.1. CRC и целостность данных. 73

2.4.3.2. Шифрование RC4 74

2.4.3.3. Вычисление ключевого потока 76

2.4.3.4. Получение секретного ключа 77

2.5. Атаки, применяемые к беспроводным системам связи 79

2.5.1. DoS-атаки 83

2.5.2. Атаки на систему аутентификации 85

2.5.3. Атаки на криптографические протоколы 89

2.5.3.1. Пассивные сетевые атаки 90

2.5.3.2. Активные сетевые атаки 90

2.5.3.3. Повторное использование вектора инициализации 91

2.5.3.4. Манипуляция битами 93

2.6. Определение вероятностей реализации угроз 96

3. ПОЛИТИКА БЕЗОПАСНОСТИ ОПЕРАТОРА БЕСПРОВОДНОЙ СВЯЗИ 99

3.1. Общие положения 99

3.2. Цели и задачи 99

3.3. Основные принципы 100

3.4. Подход к разработке политики безопасности согласно ISO 17799 101

3.5. Структура неформальной политики безопасности 104

3.6. Формализация положений политики безопасности 107

3.7. Основные методики формирования политики безопасности 112

4. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БЕСПРОВОДНЫХ СИСТЕМ СВЯЗИ 123

4.1. Основные принципы и подходы к защите 123

4.2. Мероприятия по организации минимального уровня защищенности 124

4.3. Мероприятия по обеспечению информационной безопасности беспроводных сетей 124

4.4. Наказания за нарушения политики безопасности 133

ВОПРОСЫ ДЛЯ САМОКОНТРОЛЯ 134

ЗАКЛЮЧЕНИЕ 136

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 137

ВВЕДЕНИЕ

Интенсивное развитее беспроводных телекоммуникационных сетей на базе стандарта IEEE 802.11 ведет к увеличению интереса к ним со стороны нарушителей. В связи с этим следует ожидать большое количество атак на них с использованием сложного оборудования.

В соответствии с этим перед операторами связи возникает проблема обеспечения информационной безопасности. Это условие определяет использование адекватных средств и методов защиты информации, на основе которых строиться система информационной безопасности оператора связи.

В соответствии с Федеральным Законом «О техническом регулировании» («О требованиях к средствам обеспечения безопасности информационных технологий») под безопасностью информационной технологии понимают - состояние, обеспечивающее ее применение на объектах эксплуатации, при котором отсутствует недопустимый риск, связанный с причинением ущерба здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу. Это определяет актуальность интегрирования процесса анализа рисков информационной безопасности в систему управления жизненным циклом информационной технологии.

Таким образом, при создании и эксплуатации защищенной информационно – телекоммуникационной системы оператора связи необходимо осуществлять процесс анализа и управления рисками ИБ. Целью анализа рисков является выявления возможных угроз безопасности информации, оценка возможности их реализации и ожидаемого ущерба от такой реализации в интересах организации защиты, проведения адекватной политики безопасности информации.

1. Основные принципы построения беспроводных систем связи

Сближение телекоммуникационных и компьютерных систем связи привело к созданию технологии беспроводной связи WLAN. В основе WLAN технологии лежит принцип высокочастотной радиосвязи между узлами сети. В качестве узла сети может выступать как отдельный персональный компьютер или ноутбук, так и специальное устройство «точка доступа». Специальные стандарты для WLAN сетей разрабатываются известной организацией IEEE, а сертификацией на совместимость WLAN-устройств от разных производителей занимается независимая международная организация Wi-Fi Alliance (Wireless Fidelity). Примером стандартов беспроводных систем связи являются семейство стандартов IEEE 802.11.

Сегодня беспроводные сети выходят на широкий рынок, но все же, говоря о WLAN, подразумевается, что вы имеете в виду 802.11b, также известный как "Wi-Fi". С легкостью можно сказать, что этот стандарт является наиболее популярным, он имеет приемлемые цены на оборудование и максимальную пропускную способность 11 Мбит/с. Хотя существуют и другие стандарты беспроводных сетей.

1.1. Стандарты семейства ieee 802.11

a) Базовый стандарт IEEE 802.11. Данный стандарт, разработка которого была завершена в 1997г., является базовым стандартом и определяет протоколы, необходимые для организации беспроводных локальных сетей (WLAN). Основные из них - протокол управления доступом к среде MAC (Medium Accsess Control - нижний подуровень канального уровня) и протокол PHY передачи сигналов в физической среде. В качестве последней допускается использование радиоволн и инфракрасного излучения.

Стандартом  802.11 определен единственный подуровень MAC, взаимодействующий с тремя типами протоколов физического уровня, соответствующих различным технологиям передачи сигналов - по радиоканалам в диапазоне 2,4 ГГц с широкополосной модуляцией с прямым расширением спектра (DSSS) и перескоком частоты (FHSS) , а также с помощью инфракрасного излучения. Спецификациями стандарта предусмотрены два значения скорости передачи данных - 1 и 2 Мбит/с.

По сравнению с проводными локальными сетями (ЛС) Ethernet возможности подуровня   MAC расширены за счет включения в него ряда функций, обычно выполняемых протоколами более высокого уровня, в частности, процедур фрагментации ретрансляции пакетов. Это вызвано стремлением повысить эффективную пропускную способность системы благодаря снижению накладных расходов на повторную передачу пакетов.

В качестве основного метода доступа к среде определен механизм CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance - множественный доступ с обнаружением несущей и предотвращением коллизий). Для экономии энергоресурсов мобильных рабочих станций, используемых в беспроводных локальных сетях (БЛС), предусмотрен механизм переключения станций в так называемый пассивный режим с минимальным потреблением мощности.

В основу стандарта положена сотовая архитектура, причем сеть может состоять как из одной, так и нескольких ячеек. Каждая сота управляется базовой станцией, называемой точкой доступа (Access Point, AP), которая вместе с находящимися в пределах радиуса ее действия рабочими станциями пользователей образует базовую зону обслуживания (Basic Service Set, BSS) . Точки доступа многосотовой сети взаимодействуют между собой через распределительную систему (Distribution System, DS), представляющую собой эквивалент магистрального сегмента кабельных ЛС. Вся инфраструктура, включающая точки доступа и распределительную систему   образует расширенную зону обслуживания (Extended Service Set).

Стандартом предусмотрен также односотовый вариант беспроводной сети, который может быть реализован и без точки доступа, при этом часть ее функций  выполняются непосредственно рабочими станциями.

Для обеспечения перехода мобильных рабочих станций из зоны действия одной точки доступа к другой в многосотовых ситемах предусмотрены специальные процедуры сканирования (активного и пассивного прослушивания эфира) и присоединения (Association), однако строгих спецификаций по реализации роуминга стандарт 802.11 не предусматривает.

Для защиты WLAN стандартом IEEE 802.11 предусмотрен целый комплекс мер безопасности передачи данных под общим названием Wired Equivalent Privacy (WEP). Он включает средства противодействия несанкционированному доступу к сети (механизмы и процедуры аутентификации), а также предотвращение перехвата информации (шифрование).

б) Стандарт IEEE 802.11a. Является наиболее "широкополосным" из семейства стандартов 802.11, предусматривая скорость передачи данных до 54 Мбит/с (редакцией стандарта, утвержденной в 1999 г., определены три обязательных скорости - 6, 12 и 24 Мбит/с и пять необязательных - 9, 18, 36, 48 и 54 Мбит/с).

В отличие от базового стандарта, ориентированного на область частот 2,4 ГГц, спецификациями 802.11а предусмотрена работа в диапазоне 5 ГГц. В качестве метода модуляции сигнала выбрано ортогональное частотное мультиплексирование (OFDM). Наиболее существенное различие между этим методом и радиотехнологиями DSSS и FHSS заключается в том, что OFDM предполагает параллельную передачу полезного сигнала одновременно по нескольким частотам диапазона, в то время как технологии расширения спектра передают сигналы последовательно. В результате повышается пропускная способность канала и качество сигнала.

К недостаткам 802.11а относятся более высокая потребляемая мощность радиопередатчиков для частот 5 ГГц, а так же меньший радиус действия (оборудование для 2,4 ГГц может работать на расстоянии до 300м, а для 5ГГц - около 100м).

в) Стандарт IEEE 802.11b Благодаря высокой скорости передачи данных (до 11 Мбит/с), практичкски зквивалентной пропускной способности обычных проводных ЛС Ethernet, а также ориентации на "освоенный" диапазон 2,4 ГГц, этот стандарт завоевал наибольшую популярность у производителей оборудования для беспроводных сетей.

В окончательной редакции стандарт 802.11b, известный также как Wi-Fi (Wireless Fidelity), был принят в 1999г. В качестве базовой радиотехнологии в нем используется метод DSSS с 8-разрядными последовательностями Уолша.

Поскольку оборудование, работающее на максимальной скорости 11 Мбит/с имеет меньший радиус действия, чем на более низких скоростях, то было предусмотрено автоматическое понижение скорости при ухудшении качества сигнала.

Как и в случае базового стандарта 802.11, четкие механизмы роуминга спецификациями 802.11b не определены.

г) Стандарт IEEE 802.11g.Этот стандарт представляет собой перенос спецификации 802.11a в диапазон 2,4 ГГц при сохранении параметров модуляции и скоростей передачи. Оборудование этого варианта также обеспечивает работу в режиме 802.11b.